SOC Prime Threat Bounty ダイジェスト — 2024年2月の結果

Threat Bounty 出版物

2月には、 Threat Bounty プログラム のメンバーが、SOC Prime チームによるレビューのために350以上の検出を提出しました。コンテンツ検証チームによるレビューの結果、70のルールが SOC Prime プラットフォーム に正常に公開されました。検証の過程で、SOC Prime チームは400以上のコンテンツ拒否説明と、可能な場合にはルールの改善提案を提供しました。すべてのルールが個別にレビューされており、修正を含むルールへの変更は自動的に新しいルール検証の反復を開始することを、著者は理解することが重要です。

検出を探る

Threat Bounty のメンバーである Phyo Paing Htun と話をすることができ、洞察に満ちた SOC Prime ブログでのインタビュー、そして 短編ビデオ を作成しました。この中で Phyo Paing Htun はThreat Bounty 出版物のルール作成に関する彼の経験とアプローチについて共有しています。

Threat Bounty ニュース

SOC Prime Threat Bounty プログラムによるデジタル資格の導入を、 Pearson の Credly と共に発表できることを非常に嬉しく思います。デジタル資格は、Threat Bounty コミュニティのメンバーの献身と専門性を認識する上で重要な一歩であり、Threat Bounty イニシアチブの開始以来得られた実績を実質的に象徴するものです。この旅にご注目いただき、Threat Bounty プログラムにおける検出ルールの著者を祝福し、支援しましょう。

TOP Threat Bounty 検出ルール

以下の5つの検出ルールは、SOC Prime プラットフォームを活用して脅威検出能力を強化する組織に最も需要がありました。

Ivanti Connect Secure 認証バイパスおよびコマンドインジェクション脆弱性（CVE-2023-46805 / CVE-2024-21887）の可能な悪用（Web サーバー経由） – 社内脅威ハンティング Sigma ルール Davut Selcuk によるもので、Ivanti Connect Secure の認証バイパスおよびコマンドインジェクションに関連する可能性のある悪用（CVE-2023-46805およびCVE-2024-21887）を検出します。

Microsoft Outlook リモートコード実行脆弱性（MonikerLink）［CVE-2024-21413］の悪用による可能な初回アクセス – 脅威ハンティングルール Kaan Yeniyol によるもので、Microsoft Outlook（CVE-2024-21413）でのリモートコード実行およびNTLM資格情報攻撃を検出します。この脆弱性は悪意のあるリンクを含むメールを開くと、ローカルのNTLM資格情報の漏洩とコマンド実行を引き起こす可能性があります。

Ivanti Pulse Connect Secure 認証バイパス脆弱性 [CVE-2023-46805] の疑わしい悪用試行（プロキシ経由） – 社内脅威ハンティング Sigma ルール Mustafa Gurkan KARAKAYA は、関連するリクエストを介した Ivanti 認証バイパス脆弱性 [CVE-2023-46805] の悪用試行を検出します。

Ivanti Connect Secure VPN リモートコード実行脆弱性 [CVE-2024-21887]（Web サーバー経由）の悪用による可能な初回アクセス – 脅威ハンティングルール Kaan Yeniyol Ivanti Connect Secure（9.x, 22.x）および Ivanti Policy Secure（9.x, 22.x）の Web コンポーネントにおけるコマンドインジェクションの脆弱性を検出し、認証された管理者が特別に細工されたリクエストを送信し、デバイス上で任意のコマンドを実行できるようにします。

TrustedInstaller を介した Lsass ダンプのための特権昇格の可能性を検出（プロセス生成による） – 社内脅威ハンティング Sigma ルール Davut Selcuk は、SeDebugPrivilege の無効化に関連するアクティビティを検出することで、潜在的な特権昇格の試行を識別します。特に、TrustedInstaller アカウントを利用して特権制限を回避し、ProcDump などのツールを使用して lsass.exe のメモリをダンプする方法に焦点を当てています。

トップ著者

これらの著者による Threat Bounty 検出ルールは、日々のセキュリティオペレーションのために SOC Prime プラットフォームを使用する企業にとって特に興味深く有用でした。

Davut Selcuk – 彼は2月に25の新しいルールを公開し、以前に公開されたルールを含む合計58の彼の検出が SOC Prime クライアント企業によって使用されました。

Emre Ay は12の新しいルールを公開し、SOC Prime プラットフォーム上の企業は合計38の彼の検出をダウンロードしました。

Sittikorn Sangrattanapitak – 2月に公開された6つのルールを含む、58のユニークなルールがダウンロードされました。

Nattatorn Chuensangarun – 45の検出が、2月に公開された4つのルールを含め、SOC Prime プラットフォームを通じて企業によってダウンロードされました。

Osman Demir – 2月に1つのルールが公開され、多くのダウンロードがありましたが、これはThreat Bounty 2月の結果に含まれていました。

ためらわずに Threat Bounty プログラム に参加し、潜在する脅威に立ち向かう能力を世界中の企業に与える集合的な検出エンジニアリングイニシアチブに貢献してください。実際の需要に対応した実例の検出エンジニアリングに焦点を当て続けましょう。